摘要点击排行

    一年内发表文章 |  两年内 |  三年内 |  全部

    当前位置: 全部
    Please wait a minute...
    选择: 显示/隐藏图片
    1. 针对联邦学习的恶意客户端检测及防御方法
    程显淘,
    信息安全研究    2024, 10 (2): 163-.  
    摘要258)      PDF (806KB)(166)    收藏
    联邦学习允许参与的客户端在不共享其私有数据的前提下协作训练机器学习模型.由于中央服务器无法控制客户端的行为,恶意客户端可能会通过发送被操纵的局部梯度更新破坏全局模型,同时也可能存在数据质量低下但有一定价值的不可靠客户端.针对上述问题,提出了一种针对联邦学习的恶意客户端检测及防御方法FedMDD,以局部梯度更新为依据,通过不同的方式处理检测到的恶意和不可靠客户端,同时防御符号翻转、附加噪声、单标签翻转、多标签翻转和后门攻击.针对2个数据集对比了4种基线算法,实验结果表明,在包含50%恶意客户端和10%不可靠客户端的训练环境中,FedMDD可成功防御各类攻击,在提升模型测试精度和降低后门精度方面都有更好的效果.
    相关文章 | 多维度评价
    2. 联邦学习中的隐私保护技术研究
    刘晓迁, 许飞, 马卓, 袁明, 钱汉伟,
    信息安全研究    2024, 10 (3): 194-.  
    摘要221)      PDF (1252KB)(245)    收藏
    联邦学习中多个模型在不共享原始数据的情况下通过参数协调进行训练.大量的参数交换使模型不仅容易受到外部使用者的威胁,还会遭到内部参与方的攻击,因此联邦学习中的隐私保护技术研究至关重要.介绍了联邦学习中的隐私保护研究现状;将联邦学习的安全威胁分为外部攻击和内部攻击,并以此分类为基础归纳总结了模型反演攻击、外部重建攻击、外部推断攻击等外部攻击技术和投毒攻击、内部重建攻击、内部推断攻击等内部攻击技术.从攻防对应的角度,归纳总结了中心化差分隐私、本地化差分隐私和分布式差分隐私等数据扰动技术和同态加密、秘密共享和可信执行环境等过程加密技术.最后,分析了联邦学习隐私保护技术的难点,指出了联邦学习隐私保护技术提升的关键方向.
    参考文献 | 相关文章 | 多维度评价
    3. 大语言模型在网络安全领域的应用
    刘楠, 陶源, 陈广勇,
    信息安全研究    2024, 10 (E1): 236-.  
    摘要209)      PDF (796KB)(198)    收藏
    大语言模型对通用人工智能发展有重要价值,已广泛应用于包括网络安全在内的诸多领域.介绍了大语言模型在网络安全领域的应用情况,包括国内外产业发展现状、模型训练和微调阶段的关键技术,以及各类细分应用场景,并提出网络安全大语言模型研究亟待解决的问题.大语言模型正处于蓬勃发展的阶段,随着人工智能技术研究及其在网络安全领域应用的深入,大语言模型将在网络安全领域发挥更大作用.
    参考文献 | 相关文章 | 多维度评价
    4. 基于大语言模型的自动化漏洞验证代码生成方法研究
    吴佩泽, 李光辉, 吴津宇,
    信息安全研究    2024, 10 (E1): 246-.  
    摘要206)      PDF (1562KB)(136)    收藏
    为解决电力监控系统资产体系大、漏洞数量多、漏洞库依赖厂商更新、不同来源漏洞验证脚本检测规则不一致、缺少统一的漏洞规则库等问题,以国内外多源异构漏洞POC数据为基础,提出一种基于大语言模型(LLM)的自动化漏洞验证代码生成方法.采用ChatGLM3作为基础模型,通过提示词工程和本地知识库相结合的方式生成标准漏洞POC.实验表明,生成的标准漏洞POC的误报率、漏报率分别为0.72%,4.43%,准确率为99.00%,整体效果良好,可有效应用于电力监控系统的资产漏洞扫描及验证场景.
    参考文献 | 相关文章 | 多维度评价
    5. 面向自动驾驶感知系统的对抗样本攻击研究综述
    顾芳铭, 况博裕, 许亚倩, 付安民,
    信息安全研究    2024, 10 (9): 786-.  
    摘要194)      PDF (1560KB)(125)    收藏
    自动驾驶感知系统通过多种传感器采集周围环境信息并进行数据处理,用于检测车辆、行人和障碍物等,为后续的控制决策功能提供实时的基础数据.由于传感器直接与外部环境相连,且其自身往往缺乏辨别输入可信度的能力,因此感知系统成为众多攻击的潜在目标.对抗样本攻击是一种具有高隐蔽性和危害性的主流攻击方式,攻击者通过篡改或伪造感知系统的输入数据,欺骗感知算法,导致系统产生错误的输出结果,从而严重威胁自动驾驶安全.系统总结分析了自动驾驶感知系统的工作方式和面向感知系统的对抗样本攻击进展.从基于信号的对抗样本攻击和基于实物的对抗样本攻击2方面对比分析了面向自动驾驶感知系统的对抗样本攻击方案.同时,从异常检测、模型防御和物理防御3个方面全面分析了面向感知系统的对抗样本攻击的防御策略.最后,给出了面向自动驾驶感知系统的对抗样本攻击未来研究方向.
    参考文献 | 相关文章 | 多维度评价
    6. 零信任的安全模型研究
    高能, 彭佳, 王识潇,
    信息安全研究    2024, 10 (10): 886-.  
    摘要193)      PDF (2270KB)(193)    收藏
    零信任被认为是一种新的安全范式,从安全模型视角,揭示了零信任架构以“身份和数据”为主线的安全模型深化与整合.零信任以身份为核心建立全景管控实体链条,围绕实体属性功能生命周期等建立深度防御,并集中重定向实体间信息的流动,整合信息通道,实现层层防护和细粒度动态化访问控制,最后从攻击者视角在信息流通道关键节点设置主动防御机制.由于零信任系统一定会成为高价值资产,探讨了零信任系统演进中与业务深度融合、零信任自身安全和弹性服务能力的新趋势.通过对零信任蕴含安全模型和自身安全性的分析,期望能够为零信任在应用中的架构设计、技术演进、应用安全提供更加清晰的技术发展路径.
    参考文献 | 相关文章 | 多维度评价
    7. 基于差分隐私的联邦大模型微调技术
    曾辉, 熊诗雨, 狄永正, 史红周,
    信息安全研究    2024, 10 (7): 616-.  
    摘要192)      PDF (1752KB)(129)    收藏
    随着私有数据可用性的降低,基于联邦学习的大模型参数微调成为备受关注的研究领域.尽管联邦学习本身具有一定程度的隐私保护能力,但其中的梯度泄露攻击和针对大模型的嵌入反转攻击等隐私安全问题仍然威胁着参与者的敏感信息.在当前对隐私保护意识不断增强的背景下,这些潜在的隐私风险显著阻碍了基于联邦学习的大模型参数微调在实际应用中的推广.因此,提出一种联邦大模型嵌入差分隐私控制算法,通过全局和本地双重隐私控制机制,在高效参数微调过程中为大模型的嵌入模型添加可控的随机噪声,以增强基于联邦学习的大模型参数微调的隐私保护能力.此外,通过对不同联邦设置的实验比较,展示了该算法在大模型参数微调中的隐私保护效果,并通过中心化和联邦化的性能比较实验验证了该算法的可行性.
    参考文献 | 相关文章 | 多维度评价
    8. 我国算法风险及其治理研究综述
    李欣, 曹艺萱,
    信息安全研究    2024, 10 (2): 114-.  
    摘要192)      PDF (1781KB)(120)    收藏
    数智时代,算法已然渗透人类社会的每一个角落.算法驱动数字化、智能化转型的同时,也催生出一系列问题,日益加剧的算法风险亟需有效治理.首先,将算法风险划分为法律司法、政治治理、信息传播、商业经济4大领域,然后剖析算法风险形成机理,涵盖算法黑箱、算法歧视以及权力异化3个维度,最后提出算法风险治理框架,具体可分为技术规制、权责规范以及生态优化3条路径,较为系统地展现了我国算法风险及其治理的研究进展与发展动向,为推进我国算法风险治理理论研究与体系建设提供参考.
    参考文献 | 相关文章 | 多维度评价
    9. 人工智能的安全风险与防范
    郑方,
    信息安全研究    2024, 10 (2): 101-.  
    摘要190)      PDF (469KB)(258)    收藏
    相关文章 | 多维度评价
    10. 基于图表示的恶意TLS流量检测方法
    赵荻, 尹志超, 崔苏苏, 曹中华, 卢志刚,
    信息安全研究    2024, 10 (3): 209-.  
    摘要187)      PDF (1728KB)(123)    收藏
    出于隐私保护的需要,加密服务日益普及,然而这也为恶意流量提供了隐藏自身的渠道.因此,加密恶意流量识别成为网络管理的重要任务.目前,一些基于机器学习和深度学习的主流技术已经取得了良好的效果,然而,这些方法大多忽略了流量的结构特性,也未对加密协议进行深入分析.针对这一问题,提出了一种针对安全套接层传输层安全(secure sockets layertransport layer security, SSLTLS)流量的图表示方法,总结TLS流量关键特征,并从流的源IP、目的端口、数据包数等多个属性角度考虑流量关联性.在此基础上,建立了一个基于图卷积神经网络(graph convolutional networks, GCN)的加密恶意流量识别框架GCNRF.该方法将流量转化为图结构,综合利用流量的结构信息和节点特征进行识别与分类.在真实的公共数据集上的实验结果表明,该方法的分类准确率高于目前的主流模型.
    参考文献 | 相关文章 | 多维度评价
    11.  融合CNN-BiGRU和注意力机制的网络入侵检测模型
    杨晓文, 张健, 况立群, 庞敏,
    信息安全研究    2024, 10 (3): 202-.  
    摘要182)      PDF (2042KB)(171)    收藏
    为提高网络入侵检测模型特征提取能力和分类准确率,提出了一种融合双向门控循环单元(CNNBiGRU)和注意力机制的网络入侵检测模型.使用CNN有效提取流量数据集中的非线性特征;双向门控循环单元(BiGRU)提取数据集中的时序特征,最后融合注意力机制对不同类型流量数据通过加权的方式进行重要程度的区分,从而整体提高该模型特征提取与分类的性能.实验结果表明:其整体精确率比双向长短期记忆网络(BiLSTM)模型提升了2.25%.K折交叉验证结果表明:该模型泛化性能良好,避免了过拟合现象的发生,印证了该模型的有效性与合理性.
    参考文献 | 相关文章 | 多维度评价
    12. 生成式人工智能时代人工智能法的立法思考
    严驰,
    信息安全研究    2024, 10 (2): 103-.  
    摘要167)      PDF (874KB)(142)    收藏
    随着生成式人工智能(GAI)的技术升级和日益普及,人类社会结构形态已经发生了根本性的变化.人工智能技术在发展的同时带来了新的风险和挑战,《生成式人工智能服务管理暂行办法》是中国在GAI领域的最新探索成果,强调发展和安全并重、促进创新和依法治理,为正处于立法进程中的人工智能法提供了借鉴和启示.具言之,人工智能法应考虑采用促进型立法模式,在立法内容上减少使用准用性规范,明确分类分级监管的立法思路,加强人工智能国际交流和合作,通过构建更科学、合理的顶层设计方案,推动科技向善.
    参考文献 | 相关文章 | 多维度评价
    13. 生成式伪造语音安全问题与解决方案
    冯畅, 吴晓龙, 赵熠扬, 徐明星, 郑方,
    信息安全研究    2024, 10 (2): 122-.  
    摘要165)      PDF (1170KB)(134)    收藏
    生成式人工智能算法的发展使得生成式伪造语音更加自然流畅,人类听力难以分辨真伪.首先分析了生成式伪造语音不当滥用对社会造成的一系列威胁,如电信诈骗更加泛滥、语音应用程序安全性下降、司法鉴定公正性受到影响、综合多领域的伪造信息欺骗社会大众等.然后从技术发展角度,对生成式伪造语音的生成算法和检测算法分别进行总结与分类,阐述算法流程步骤及其中的关键点,并分析了技术应用的挑战点.最后从技术应用、制度规范、公众教育、国际合作4方面阐述了如何预防以及解决生成式伪造语音带来的安全问题.
    参考文献 | 相关文章 | 多维度评价
    14. 基于区块链和PKI的身份认证技术研究
    李铭堃, 马利民, 王佳慧, 张伟,
    信息安全研究    2024, 10 (2): 148-.  
    摘要165)      PDF (1573KB)(218)    收藏
    PKI是基于非对称密码算法和数字证书来实现身份认证和加密通信的安全体系,原理是基于信任锚的信任传递.该技术存在以下问题:CA中心唯一,存在单点故障;认证过程存在大量证书解析、签名验签、证书链校验等操作,认证流程繁琐.针对上述问题,基于长安链构建身份认证模型,提出基于长安链数字证书和公钥基础设施的身份认证方案,理论分析和实验数据表明,该方案减少了证书解析、签名验签等操作,简化认证流程,提高了认证效率.
    参考文献 | 相关文章 | 多维度评价
    15. 基于同态加密和边缘计算的关键目标人脸识别方案
    刘家森, 王绪安, 余丹, 李龙, 赵臻,
    信息安全研究    2024, 10 (11): 1004-.  
    摘要165)      PDF (2205KB)(53)    收藏
    随着我国综合国力和国际地位的提升,越来越多的重大国际活动在我国一线城市举办,如成都大运会和杭州亚运会,庞大的人流量和复杂的人群类别给我国安保队伍造成了不小的安保压力.由于传统的人脸识别系统是在明文状态下在中心服务器中实现人脸识别,并依赖传统国密算法保证安全性,这对整个系统的计算效率和安全性都无法给予充分保障.为此,基于CKKS同态加密方案和Insightface人脸识别算法,提出了一种支持边缘计算的关键目标人脸识别方案.首先利用CKKS同态加密方案对关键目标人脸特征进行加密,并将密文数据分配给各个前端监控设备,之后由前端监控设备负责提取现场人群的人脸特征,并计算与密文数据库的匹配度,最后将密文计算结果返回至中心服务器并进行解密.实验结果表明,该方案在LFW数据集上阈值为1.23时,密文中的识别准确率为98.2116%,证明该方案的可靠性.
    参考文献 | 相关文章 | 多维度评价
    16. 基于多维信誉的区块链安全分片方案
    曾俊智, 许力, 尤玮婧, 左雨庭,
    信息安全研究    2024, 10 (8): 690-.  
    摘要161)      PDF (2816KB)(133)    收藏
    区块链面临可拓展性问题.分片通过将区块链网络划分成多个子网络,并行处理交易,从而提升系统性能.但分片易导致恶意节点聚集,发动51%攻击,影响系统安全.现有的单维信誉方案存在重分配过程开销大和分片间共识不足的问题,性能与安全无法保证.针对上述问题,提出基于多维信誉的区块链安全分片方案.首先,综合节点多维指标,保证分片信誉与计算通信能力均衡,识别恶意节点.其次,提出双阶段重分配方案,通过第1阶段部分重分配和第2阶段全部重分配,减少重分配频次,降低开销.最后,设计基于多维信誉的快速拜占庭容错共识(multidimensional reputation based fast Byzantine faulttolerant consensus, MRFBFT),将投票权与信誉结合,并在分片领导节点间增设一次共识,防止恶意行为.实验结果表明,各分片信誉和计算通信水平更均衡,共识时延大约降低20%,吞吐量提升15%左右.
    参考文献 | 相关文章 | 多维度评价
    17. 多通道运动矢量排序的可逆视频信息隐藏
    孟逸飞, 钮可, 梁钰承, 石林, 张英男,
    信息安全研究    2024, 10 (8): 698-.  
    摘要160)      PDF (1590KB)(91)    收藏
    针对现有基于运动矢量排序的视频可逆信息隐藏算法无法根据视频帧视觉特性自适应调节嵌入容量且容量有限的问题,提出一种多通道矢量排序的可逆视频信息隐藏算法.该算法通过计算参考帧的纹理复杂度和运动复杂度情况决定后续帧是否嵌入信息,从而实现后续帧的自适应信息嵌入,算法同时对多通道像素值排序(multipass pixel value ordering, multipass PVO)技术进行改进,将其应用于视频信息隐藏,有效提升可逆隐藏算法嵌入容量.实验结果表明,相较于同类算法,PSNR和SSIM的变化值分别降低14.5%和8.5%,嵌入容量提升7.4%,在视觉质量和嵌入容量方面有显著提高.
    参考文献 | 相关文章 | 多维度评价
    18. 基于联邦学习与卷积神经网络的入侵检测模型
    罗文华, 张晓龙,
    信息安全研究    2024, 10 (7): 642-.  
    摘要159)      PDF (1722KB)(134)    收藏
    网络入侵检测模型需要在大规模的网络流量数据中及时准确地识别出恶意数据,但单一机构的标签数据不足,各机构之间不愿共享数据,导致训练出的入侵检测模型性能不高.针对上述问题,提出一种基于联邦学习和1维卷积神经网络的入侵检测模型FL1DCNN,在保证较高检测精度的同时,允许更多的参与方保护自身数据的隐私和安全,解决了标签数据不足的问题.FL1DCNN模型首先对原始数据集进行一系列预处理操作,然后在联邦学习机制下将1维卷积神经网络作为各参与方的通用模型进行特征提取,最后通过Sigmoid分类器进行二分类.实验结果表明,FL1DCNN模型在CICIDS2017数据集上的准确率达到96.5%,F1分数达到97.9%.此外,相较于传统集中式学习训练出的模型1DCNN,FL1DCNN模型在训练时间上缩短了32.7%.

    参考文献 | 相关文章 | 多维度评价
    19. 基于BertTextCNN的开源威胁情报文本的多标签分类方法
    陆佳丽,
    信息安全研究    2024, 10 (8): 760-.  
    摘要148)      PDF (1641KB)(96)    收藏
    开源威胁情报对网络安全防护十分重要,但其存在着分布广、形式多、噪声大的特点.所以如何能对收集到的海量开源威胁情报进行高效的整理和分析就成为亟需解决的问题.因此,探索了一种以BertTextCNN模型为基础且同时考虑标题、正文和正则判断的多标签分类方法.根据情报源发布文本的特点,设置正则判断规则,以弥补模型的欠缺;为更全面反映开源威胁情报文本所涉及的威胁主题,针对标题和正文分别设置了BertTextCNN多标签分类模型,并将2部分标签整理去重以得到文本的最终威胁类别.通过与只依据正文建立的BertTextCNN多标签分类模型进行对比,所设置的模型在性能上有所提升,且召回率提升明显,能为开源威胁情报分类工作提供有价值的参考.

    参考文献 | 相关文章 | 多维度评价
    20. 基于国密SM2算法的局部可验证聚合签名算法研究
    沈荣耀, 马利民, 王佳慧, 张伟,
    信息安全研究    2024, 10 (2): 156-.  
    摘要145)      PDF (983KB)(135)    收藏
    国密SM2算法基于椭圆曲线密码体制,由国家密码管理局于2010年发布,目前广泛应用于电子政务、医疗、金融等领域,其中数字签名作为SM2算法的主要应用,各种安全应用场景下产生的签名、验签操作次数呈指数级增长.针对海量SM2数字签名占用较大的存储空间,且对签名逐个验证效率较低的问题,提出一种基于国密SM2算法的局部可验证聚合签名方案,使用聚合签名,降低存储开销,提高验证效率.另一方面,针对验证方仅验证指定消息及聚合签名时,也必须获取聚合时的全部消息明文的问题,利用局部可验证签名,使得验证方仅需指定消息、聚合签名及短提示即可完成验证.对方案的正确性及安全性进行分析.通过实验数据和理论分析,与同类方案相比,该方案具备较高性能.
    参考文献 | 相关文章 | 多维度评价
    21. 基于序列生成对抗网络的智能模糊测试方法
    靳文京, 卜哲, 秦博阳,
    信息安全研究    2024, 10 (6): 490-.  
    摘要139)      PDF (2426KB)(183)    收藏
    漏洞的数量增长以及超危、高危等高度危害漏洞的大量出现使得网络安全形势面临着极大挑战,模糊测试作为主流的安全测试手段被广泛应用.测试用例生成作为核心步骤直接决定了模糊测试效果的优劣,然而传统的基于预先生成、随机生成以及变异策略的测试用例生成方法面临着覆盖面低、人工成本高、质量低下等瓶颈问题,如何生成高质量、高可用、完备的测试用例是智能模糊测试的难点问题.针对于此问题,提出一种基于序列生成对抗网络(SeqGAN)模型的智能模糊测试方法,结合强化学习的思想将测试用例生成抽象为普适的非定长离散型序列数据的学习和近似生成问题,创新性地在生成器部分增加可配置的嵌入层来规范生成,并采用动态权重调整的方式从真实性和多样性2个维度设计奖励函数,最终实现自动化、智能化地构造全面、完备、可用的测试用例集,以达到灵活、高效的智能模糊测试的目标.从有效性和通用性2个层面分别对所提方案进行了验证,在4种不同测试目标下平均95%以上的测试用例通过率以及平均10%的目标缺陷检测能力充分证明了方案的通用性,在4种不同方案对比下98%的测试用例通过率、9%的目标缺陷检测能力以及单位时间内2万条可用测试用例的生成能力充分证明了方案的有效性.
    参考文献 | 相关文章 | 多维度评价
    22. 隐私计算环境下深度学习的GPU加速技术综述
    秦智翔, 杨洪伟, 郝萌, 何慧, 张伟哲,
    信息安全研究    2024, 10 (7): 586-.  
    摘要137)      PDF (1274KB)(155)    收藏
    随着深度学习技术的不断发展,神经网络模型的训练时间越来越长,使用GPU计算对神经网络训练进行加速便成为一项关键技术.此外,数据隐私的重要性也推动了隐私计算技术的发展.首先介绍了深度学习、GPU计算的概念以及安全多方计算、同态加密2种隐私计算技术,而后探讨了明文环境与隐私计算环境下深度学习的GPU加速技术.在明文环境下,介绍了数据并行和模型并行2种基本的深度学习并行训练模式,分析了重计算和显存交换2种不同的内存优化技术,并介绍了分布式神经网络训练过程中的梯度压缩技术.介绍了在隐私计算环境下安全多方计算和同态加密2种不同隐私计算场景下的深度学习GPU加速技术.简要分析了2种环境下GPU加速深度学习方法的异同.
    参考文献 | 相关文章 | 多维度评价
    23. 零知识证明硬件加速研究综述
    谢明东, 郝萌, 杨洪伟, 何慧, 张伟哲,
    信息安全研究    2024, 10 (7): 594-.  
    摘要137)      PDF (1311KB)(127)    收藏
    零知识证明(zeroknowledge proofs, ZKP)是一种允许证明者向验证者证明某一陈述正确性而无需泄露任何其他信息的密码学协议.主要介绍了零知识证明的加速研究,尤其关注了基于二次算术程序(QAP quadratic arithmetic program)和内积证明(inner product argument, IPA)的ZKP.研究表明,零知识证明的计算效率可以通过硬件加速技术显著提高,包括使用GPU,ASIC,FPGA等.首先介绍了零知识证明的定义与分类及目前零知识证明应用所遇到的困难.其次详细讨论了不同硬件系统的加速方法、实现原理及其相对于传统CPU的性能提升.例如,cuZK和GZKP利用GPU实现了多标量乘法(multiscalar multiplication, MSM)和数论变换(number theoretic transform, NTT),而PipeZK,PipeMSM,BSTMSM则通过ASIC和FPGA加速这些计算过程.此外,也提到了零知识证明在区块链中隐藏交易细节等方面的应用案例,如ZCash的隐秘交易.最后,提出了未来研究的方向,包括加速更多类型的ZKP和将硬件加速应用到实际的应用场景中,以解决效率低下问题,推动零知识证明技术的广泛应用.
    参考文献 | 相关文章 | 多维度评价
    24. 物联网中多密钥同态加密的联邦学习隐私保护方法
    管桂林, 支婷, 陶政坪, 曹扬,
    信息安全研究    2024, 10 (10): 958-.  
    摘要136)      PDF (1704KB)(114)    收藏
    借助联邦学习,多个分布式物联网设备可在不泄露原始数据前提下通过传输模型更新共同训练全局模型.然而,联邦学习系统易受模型推理攻击的影响,导致系统鲁棒性和数据隐私性受损.针对现有联邦学习方案无法实现对共享梯度的机密性保护以及难以抵抗客户端和服务器发起的共谋攻击等问题,提出一种物联网中多密钥同态加密的联邦学习隐私保护方法.该方法利用多密钥同态加密实现了梯度更新机密性保护,首先通过采用代理重加密技术,将不同公钥下的密文转换为公共密钥下的加密数据,确保云服务器实现对梯度密文的解密.然后,物联网设备采用自身的公钥和随机秘密因子加密本地梯度数据,可抵抗恶意设备和服务器发起的合谋攻击.其次,设计了一种基于混合密码体制的身份认证方法,实现对联邦建模参与方身份的实时验证.此外,为了进一步降低客户端计算开销,将部分解密计算协同至可信服务器计算,用户只需少量的计算即可.通过对所提方案进行全面分析以评估其安全性和效率.结果表明,所提方案满足了预期的安全要求.实验仿真表明,该方案相较于现有方案,具有较低的计算开销,可实现更快且准确的模型训练.
    参考文献 | 相关文章 | 多维度评价
    25. 模糊测试技术的研究进展与挑战
    汪美琴, 夏旸, 贾琼, 陈志浩, 刘明哲,
    信息安全研究    2024, 10 (7): 668-.  
    摘要132)      PDF (1020KB)(124)    收藏
    模糊测试作为一种高效的漏洞挖掘技术,近年来发展快速,受到了越来越多研究人员的广泛关注.为了深入研究模糊测试技术,介绍了模糊测试的定义,分析了优点和缺点;从种子选择的能量调度、测试用例变异算法、模糊测试执行性能、混合模糊测试等方面,总结了模糊测试的研究进展,比较了各项研究的改进点和不足,进一步提出了模糊测试未来改进的建议;描述了模糊测试在操作系统内核、协议、固件、深度学习等领域的漏洞挖掘研究成果;对模糊测试未来的挑战和研究热点提出一些思考.
    参考文献 | 相关文章 | 多维度评价
    26. 基础软件供应链安全现状分析与对策建议
    张蕾, 闻书韵,
    信息安全研究    2024, 10 (8): 780-.  
    摘要130)      PDF (4217KB)(103)    收藏
    基础软件是支撑计算机系统高效稳定运行的基石,决定数字基础设施发展的水平.以操作系统、数据库、中间件为代表的基础软件产业链在整个软件产业处于上游位置,直接影响下游产出的规模和效益.由于基础软件具有研发周期长、投入大等特点,在软件供应链日益复杂的环境下,逐渐引起各国重视并上升至国家战略高度.近年来,我国基础软件产业借助开源路径提速发展的同时,发生了众多基础软件供应链安全事件,带来了风险挑战.梳理了基础软件供应链安全现状,分析基础软件供应链面临的风险挑战,并从政策、产业、用户、生态4个层面提出合理化对策建议.

    参考文献 | 相关文章 | 多维度评价
    27. 强化语义一致性的差分隐私文本脱敏方法
    关业礼, 罗森林, 潘丽敏, 张笈, 于经纬,
    信息安全研究    2024, 10 (8): 706-.  
    摘要126)      PDF (1067KB)(68)    收藏
    文本脱敏是一种极为重要的隐私保护方法,其隐私保护效果和与原文本语义一致性的平衡是一个难题.现有差分隐私脱敏方法对敏感词脱敏时,采用相似性计算概率法选取敏感词的替代词,易造成替代词与原文语义不一致甚至无关,严重影响脱敏文本对原文语义的保持.提出一种强化语义一致性的差分隐私文本脱敏方法,给定一种截断距离度量公式调整替换词选中概率限制语义无关替换词.真实数据集的实验结果表明,该方法有效提升了脱敏文本与原文的语义一致性,实际应用价值大.
    参考文献 | 相关文章 | 多维度评价
    28. 基于增量学习的车联网恶意位置攻击检测研究
    江荣旺, 魏爽, 龙草芳, 杨明,
    信息安全研究    2024, 10 (3): 277-.  
    摘要126)      PDF (1866KB)(92)    收藏
    近年来,车辆恶意位置攻击检测中主要使用深度学习技术.然而,深度学习模型训练耗时巨大、参数众多,基于深度学习的检测方法缺乏可扩展性,无法适应车联网不断产生新数据的需求.为了解决以上问题,创新地将增量学习算法引入车辆恶意位置攻击检测中,解决了上述问题.首先从采集到的车辆信息数据中提取关键特征;然后,构建恶意位置攻击检测系统,利用岭回归近似快速地计算出车联网恶意位置攻击检测模型;最后,通过增量学习算法对恶意位置攻击检测模型进行更新和优化,以适应车联网中新生成的数据.实验结果表明,相比SVM,KNN,ANN等方法具有更优秀的性能,能够快速且渐进地更新和优化旧模型,提高系统对恶意位置攻击行为的检测精度.
    参考文献 | 相关文章 | 多维度评价
    29. 互联网内容安全关键技术研究综述
    廖忠, 王志昂, 申宇, 魏子令, 陈曙晖,
    信息安全研究    2024, 10 (3): 248-.  
    摘要124)      PDF (1234KB)(116)    收藏
    随着互联网技术的飞速发展和内容创作分享的低门槛化,互联网内容安全成为当下互联网建设和监管的重点.以文本、图像、音频、视频为载体的信息内容剧增,给互联网内容安全带来巨大挑战.互联网内容安全内涵丰富,从多媒体内容过滤分析、信息伪造检测、舆情态势感知和数据保护4个方面对其中关键的技术进行介绍.同时,梳理实际应用中广泛采用的关键技术和相关研究工作.最后对互联网内容安全研究的关键问题进行探讨与展望.
    参考文献 | 相关文章 | 多维度评价
    30. 人工智能算力基础设施安全体系架构研究
    刘永东, 张瑶, 王淼,
    信息安全研究    2024, 10 (2): 109-.  
    摘要124)      PDF (1146KB)(153)    收藏
    人工智能算力基础设施是人工智能发展的重要基石,但由于其属性多样、节点复杂、用户数量多以及人工智能自身脆弱性等特性,使得人工智能算力基础设施在建设和运营过程中面临着严峻的安全挑战.分析了人工智能算力基础设施的内涵和安全发展的背景形势,从强化自身安全、保障运行安全、助力安全合规3方面提出了人工智能算力基础设施安全体系架构及发展建议,旨在为人工智能算力基础设施安全建设提供方法和思路,为选择使用安全的人工智能算力基础设施提供判别依据,为人工智能产业健康、持续发展提供决策参考.
    参考文献 | 相关文章 | 多维度评价
    31. 大型局域网安全盲区探析
    刘建兵, 王振欣,
    信息安全研究    2024, 10 (4): 335-.  
    摘要123)      PDF (784KB)(106)    收藏
    提出了大型局域网安全相关的网络盲区、资产盲区和安全盲区,分析了3个盲区产生的原因,阐述了3个盲区的形态,指出了3个盲区对大型局域网安全的影响,为解决大型局域网的安全问题提供了新的角度.
    参考文献 | 相关文章 | 多维度评价
    32. 基于BERT模型的源代码漏洞检测技术研究
    罗乐琦, 张艳硕, 王志强, 文津, 薛培阳,
    信息安全研究    2024, 10 (4): 294-.  
    摘要120)      PDF (3199KB)(168)    收藏
    源代码漏洞检测常使用代码指标、机器学习和深度学习等技术.但是这些技术存在无法保留源代码中的句法和语义信息、需要大量专家知识对漏洞特征进行定义等问题.为应对现有技术存在的问题,提出基于BERT(bidirectional encoder representations from transformers)模型的源代码漏洞检测模型.该模型将需要检测的源代码分割为多个小样本,将每个小样本转换成近似自然语言的形式,通过BERT模型实现源代码中漏洞特征的自动提取,然后训练具有良好性能的漏洞分类器,实现Python语言多种类型漏洞的检测.该模型在不同类型的漏洞中实现了平均99.2%的准确率、97.2%的精确率、96.2%的召回率和96.7%的F1分数的检测水平,对比现有的漏洞检测方法有2%~14%的性能提升.实验结果表明,该模型是一种通用的、轻量级的、可扩展的漏洞检测方法.
    参考文献 | 相关文章 | 多维度评价
    33. 基于Louvain多图融合的口令爆破检测技术研究
    黄自力, 熊璐, 邱震尧,
    信息安全研究    2024, 10 (E2): 2-.  
    摘要118)      PDF (1381KB)(103)    收藏
    口令爆破作为网络安全领域的常见攻击手段,对用户账号体系造成了严重的威胁与风险.传统的规则引擎难以捕获多变的分布式多间隔攻击.本研究通过结合Louvain社团算法的社交网络能力,关联分析日志特征,以访问地址源、访问频率、登录特征作为建边依据,引入浮动微调的多图权重机制,构建多图融合模型,实现了对分布式多间隔口令爆破的精准检测.
    参考文献 | 相关文章 | 多维度评价
    34. 开源软件供应链安全风险分析研究
    王江, 姜伟, 张璨,
    信息安全研究    2024, 10 (9): 862-.  
    摘要114)      PDF (1824KB)(79)    收藏
    开源软件已经成为支撑数字社会正常运转的最基本元素之一,渗透到各个行业和领域.随着开源软件供应链越发复杂多元,开源软件供应链安全攻击事件造成的危害也越发严重.梳理了开源软件供应链生态发展现状和世界主要国家开源软件供应链安全战略布局,从开源软件开发安全、使用安全和运营安全维度,提出了开源软件供应链安全风险分析体系,给出当前开源软件供应链面临的主要安全风险,构建了开源软件供应链安全保障模型,并从供应链环节、相关主体和保障措施3个维度提出我国开源软件供应链安全与发展对策建议.
    参考文献 | 相关文章 | 多维度评价
    35. 基于知识图谱推理的工控漏洞利用关系预测方法
    梁超, 王子博, 张耀方, 姜文瀚, 刘红日, 王佰玲,
    信息安全研究    2024, 10 (6): 498-.  
    摘要113)      PDF (1255KB)(87)    收藏
    工业控制系统漏洞数量呈快速增长态势,人工分析漏洞利用需要花费的时间与经济成本不断增加,当前推理方法存在信息利用不充分、可解释性差等缺陷.针对上述问题,提出了一种基于知识图谱推理的工控漏洞利用关系预测方法.该方法首先使用路径筛选算法约简漏洞利用路径,然后通过关键关系路径聚合获取路径信息,通过邻居关系信息融合获取邻居信息,最终预测漏洞利用关系.基于安全知识数据与工控场景数据构建了一个包含57333个实体的工控安全知识图谱,进行漏洞利用关系预测实验.结果表明,提出的方法预测准确率达到99.0%,可以辅助工控漏洞利用预测.
    参考文献 | 相关文章 | 多维度评价
    36. 基于区块链与代理重加密的数据安全共享技术研究
    吴宇, 陈丹伟,
    信息安全研究    2024, 10 (8): 719-.  
    摘要110)      PDF (2800KB)(107)    收藏
    在数字化时代,大量敏感数据存储在各种网络和云平台上,数据保护成为信息安全领域的关键挑战之一.传统的加密方法存在单点故障和中心化控制的问题,从而可能导致数据泄露.为了解决这些问题,提出了一种新的方法,将区块链技术和改进的代理重加密算法相结合,采用Shamir门限密钥共享,设计了一种基于门限代理重加密算法的数据共享方案TDPRBC,安全分析及实验结果表明该方案可以满足大部分数据访问需求.
    参考文献 | 相关文章 | 多维度评价
    37. 基于Transformer与图卷积网络的行为冲突检测模型
    文津, 蒋凯元, 韩禹洋, 王志强, 罗乐琦, 田文亮,
    信息安全研究    2024, 10 (8): 729-.  
    摘要110)      PDF (1811KB)(80)    收藏
    近年来,随着监控摄像头的不断增多和互联网的迅速发展,监控视频与网络视频越来越多,对视频进行自动行为冲突检测对降低人为审核导致的隐私信息泄露风险及维护社会治安、净化网络环境等具有重要意义.为了充分提取视频中的行为冲突特征,并获得有较好泛化能力与检测效果的模型,采用I3D(inflated 3D convolutional network)与VGGish,基于XDViolence进行多模态特征的提取,并提出了基于Transformer和图卷积网络的行为冲突检测模型TGBCDM(behavior conflict detection model based on Transformer and graph convolution networks).该模型包含Transformer编码器模块和图卷积模块,可以在有效捕捉视频中长距离依赖关系的同时,关注视频特征的全局信息和局部信息.经过实验证明,该模型优于现有的8种方法.
    参考文献 | 相关文章 | 多维度评价
    38.  面向取证的网络攻击者溯源分析技术研究综述
    王子晨, 汤艳君, 潘奕扬,
    信息安全研究    2024, 10 (4): 302-.  
    摘要107)      PDF (1134KB)(107)    收藏
    网络攻击者的隐藏性和匿名性使得网络攻击溯源技术充满挑战.研究综述了基于流量、场景和样本3个方面的网络攻击溯源分析技术的研究现状.首先,针对流量溯源,总结出基于日志记录、流量包标记、ICMP回溯和链路测试等方法和应用;其次,根据不同场景归纳出匿名网络攻击、僵尸网络攻击、跳板攻击、局域网攻击和高级可持续威胁攻击的溯源技术以及在实际环境中的应用和限制;最后,对于样本分析探讨了静态和动态溯源分析在恶意代码分析及攻击溯源方面的研究进展和应用场景.
    参考文献 | 相关文章 | 多维度评价
    39. 一种安全高效的全匿踪纵向联邦学习方法
    尤志强, 姜玮, 方竞, 陈立峰, 卞阳,
    信息安全研究    2024, 10 (6): 506-.  
    摘要106)      PDF (888KB)(98)    收藏
    纵向联邦学习作为实现“数据可用不可见”的重要技术范式,其核心的学习过程是基于安全求交的样本对齐.已有的安全求交虽然保护了非交集信息的隐私不被泄露,但无法满足交集部分用户ID的隐私保护需求.抽象出一种基于匿踪对齐的全匿踪纵向联邦学习框架,确保联邦学习全链路都不会泄露各持有方集合的隐私信息;提出一种基于多方安全计算的框架实现方法,在保持全匿踪的条件下进行联合建模,迭代训练直到模型收敛;通过实验验证了该框架的高性能与低误差特性,能够较好地应用于实践.
    参考文献 | 相关文章 | 多维度评价
    40. 一种面向特殊领域隐语的大语言模型检测系统
    姬旭, 张健毅, 赵张驰, 周子寅, 李毅龙,
    信息安全研究    2024, 10 (9): 795-.  
    摘要106)      PDF (2610KB)(98)    收藏
    大语言模型从模型本身和推理中检索知识以生成用户所需的答案,因此评价大语言模型的推理能力成为热点.然而,尽管在隐语方面大语言模型表现出较好的推理与理解能力,但在诸如电信诈骗等特殊领域隐语理解能力、推理能力的评价尚未出现.针对此问题,设计并实验了首个针对特殊领域隐语的大语言模型评估系统,同时提出了包含许多特殊主题的首个隐语数据集.针对数据交叉匹配问题和数据计算问题,分别提出了协同调和算法和基于指示函数的数据感知算法,从多角度评价大语言模型的表现.实验证明,该系统可以灵活、深入地评估大语言模型问答的识别准确性.同时,结果首次揭示了大语言模型基于提问风格和线索的识别准确性变化.设计系统可以作为一种审计工具帮助提高大语言模型的可靠性和安全性.
    参考文献 | 相关文章 | 多维度评价